Question Enregistrements NS de sous-domaine DNS (enfant)


c'est mon premier post ici, alors excusez-moi si je ne poste pas tout à fait correctement.

de toute façon, ma question concerne les fichiers de zone dans les zones parent et enfant. si nous avons exemple.com nous installerions les choses quelque chose comme ceci:

$ORIGIN example.com.
@  1D  IN  SOA ns1.example.com. hostmaster.example.com. (
                  2002022401 ; serial
                  3H ; refresh
                  15 ; retry
                  1w ; expire
                  3h ; nxdomain ttl
                 )
          IN  NS     ns1.example.com.
          IN  NS     ns2.example.com.

depuis dans la zone parente .com. il existe déjà un enregistrement NS pour le example.com. zone enfant et un record de colle pour la ns1.example.com. dans quel but déclarons-nous à nouveau les enregistrements NS dans la zone enfant?

Et aussi, avons-nous besoin de déclarer un enregistrement pour les serveurs de noms dans la zone enfant elle-même?

J'espère que vous comprenez ma question.

Merci d'avance.


5
2017-12-18 10:53


origine


Regarde aussi: Quel est le rôle des enregistrements NS au sommet d'un domaine DNS? Cela aurait été considéré comme une dupe, mais nous avons un bon dialogue entre les réponses ici et l'une d'entre elles est acceptée. - Andrew B
Autre chose: gardez à l’esprit que la zone parent ne contiendra pas toujours un enregistrement collé. Les enregistrements de collage ne sont strictement nécessaires que lorsque la zone enfant chevauche l’espace de nom de la zone parent. - Andrew B


Réponses:


La façon dont cela fonctionne

L'autorité NS enregistrements résident à l'intérieur de la zone elle-même (et fournie dans ANSWER section lorsque le serveur faisant autorité est interrogé), tout comme tous les autres enregistrements qui font partie de cette zone.

Pour pouvoir parcourir l’arbre, informations de référence / délégation / autorité (NS et de la colle A/AAAA enregistrements nécessaires) est également ajouté à la zone parente.
Cette information, cependant, n'est pas traitée comme la "vraie réponse", la réponse manque de AA (réponse faisant autorité) le drapeau et le NS les enregistrements sont dans le AUTHORITY section pour indiquer qu’il ne s’agit que d’informations sur qui a la réponse réelle.
Une implication de ceci est que si vous faites une recherche directe de NS enregistrements, vous suivrez cette référence et interrogerez le serveur faisant autorité en dépit du fait que devrait être la même information.

Pourquoi a-t-il été défini pour fonctionner de cette façon?

Probablement parce qu'il a été jugé approprié / net / logique que tous les enregistrements faisant autorité résident dans la zone à laquelle ils appartiennent et qu'il devrait exister des enregistrements faisant autorité également pour: NS.

Cela aurait-il pu être défini différemment?

Oui. Regardez par exemple comment DS les enregistrements ont été définis lorsqu’ils ont été introduits beaucoup plus tard. Dans ce cas, il n'y a pas d'enregistrement de ce type dans la zone enfant, mais c'est le parent qui fait autorité.

Puis-je le faire différemment?

Non. Parce qu’il a été défini comme il était et que tous les logiciels existants fonctionnent en fonction de la façon dont il a été défini, les choses vont se rompre (souvent de manière subtile) si vous ne le faites pas correctement.

tl; dr

Vous avez besoin du même NS enregistre à la fois dans votre zone et des informations de délégation dans la zone parente. De la même manière, toute colle A/AAAA les enregistrements doivent également exister en tant que véritables enregistrements faisant autorité.


5
2017-12-18 12:36





Bien que je déteste être en désaccord avec mon estimé collègue, le NS les enregistrements dans la zone servent à certaines fins. Par exemple, le NS 1ary doit savoir qui sont tous les autres NS afin de pouvoir lui envoyer tous les NOTIFIES DNS en cas de mise à jour de zone, afin de savoir effectuer des transferts de zone. Cette information provient de ceux de la zone NS enregistrements.

Pour ce qui est de DS enregistrements n'ayant pas de contrepartie dans la zone, le DSest un simple résumé de la KSK dans la zone DNSKEY record. Ce disque, tout comme le NS enregistrements auraient été reflétés dans et hors zone sans la longueur considérable des enregistrements KSK et les conséquences sur les performances pour les domaines comportant des dizaines de millions d’entrées enfants, telles que .com, de conserver un nombre similaire d’enregistrements de longueur arbitraire. Ainsi, la décision de ne conserver qu'un condensé dans la zone parente - mais ils restent le même enregistrement, et les copies des zones d'entrée et de sortie doivent correspondre, comme avec NS enregistrements.

tl; dr

Håkan a raison; vous avez besoin de ces enregistrements dans la zone, et ils doivent vraiment correspondre aux copies (de la colle) de la zone. En règle générale, ne violez pas les RFC sauf si vous êtes vraiment sûr de savoir ce que vous faites.


1
2017-12-18 13:33



En ce qui concerne ce défaut typique de qui notifier, même si vous avez le NS disques facilement disponibles, il est assez courant que vous ayez besoin de consulter le monde extérieur pour résoudre ces noms de toute façon. Quoi qu'il en soit, vous pouvez simplement lister les adresses des autres serveurs, un peu comme vous le faites lorsque vous remplacez cette valeur par défaut. De plus, la fonctionnalité de notification n'a été introduite que longtemps après ces décisions de conception. Je pense qu’un autre cas, qui pourrait être plus grave, concerne l’amorçage des récurseurs avec les serveurs de la zone racine. C’est un domaine qui devrait travailler un peu différemment. - Håkan Lindqvist
Pour ce qui est de DS disques peut-être que je pourrais améliorer mon phrasé (je vais regarder de près), mais ce que je voulais dire est simplement que DS records est un exemple où cela a été fait différemment; il s'agit d'un enregistrement où les serveurs de la zone parent répondent avec autorité et où la zone enfant ne possède aucun enregistrement pour quelque chose qui serait traditionnellement considéré comme faisant partie de la zone enfant. - Håkan Lindqvist
Si je ne le dis pas clairement, j’estime que les données de la DS l’enregistrement se trouve bien dans les zones parent et enfant. C'est dans sa forme complète dans l'enfant et dans sa forme digérée dans le parent, mais la donnée est présente dans les deux zones. En ce qui concerne les personnes à notifier, je conviens que le serveur de noms 1ary pourrait avoir cette information configurée d’une autre manière, mais elle doit toujours être configurée localement. Elles ne seront résolues que si elles se trouvent en dehors de la zone faisant autorité - et si c'est le cas, elles ne font pas partie de l'ensemble des données stockées dans les zones interne et externe et ne concernent pas la question. - MadHatter
Je pense que l’un des points sur lesquels nous pensons différemment est de savoir si les enregistrements de types différents peuvent être égaux, à proprement parler. - Håkan Lindqvist
Quoi qu'il en soit, j'ai modifié ma réponse afin de préciser, j'espère, ce que je voulais dire en ce qui concerne les disques DS. - Håkan Lindqvist